8 bonnes habitudes pour sécuriser simplement votre site WordPress

Récupérer un site WordPress infecté ou piraté n'est jamais une partie de plaisir, et c'est un véritable cauchemar d'incompréhensions quand cela vous arrive en tant que novice de WordPress et du web en général. La solution, sécuriser tant que votre WordPress respire bien !

Mieux vaut prévenir que guérir. Considérez votre site Internet comme un petit être vivant réclamant des attentions régulières de votre part. Je vous livre dans cet article un ensemble de bonnes pratiques afin de préserver votre site WordPress d'éventuelles failles ou attaques.

Certains conseils sont des basiques indispensables, d'autres plus poussés vous garantissent un confort supplémentaire. Toutes ces solutions sont entièrement GRATUITES. Respecter les 3 premières habitudes décrites ci-dessous vous garantira déjà une très bonne base pour mettre toutes les chances de votre côté.

#1 - Toujours effectuer la mise à jour du coeur de WordPress

C'est certainement LE PLUS IMPORTANT !
WordPress est gratuit et pourtant il est constamment optimisé. Des bataillons de développeurs passionnés travaillent en continu aux améliorations et aux réparations des failles de WordPress. Alors pourquoi s'en passer ?
Sérieusement, faites-le et veillez à ce que votre site soit le plus souvent mis à jour manuellement (cf: image ci-dessus), si ce n'est automatiquement grâce à ce petit bout de code à insérer dans votre fichier wp-config.php
[pastacode lang="php" manual="%23%20Autoriser%20la%20mise%20%C3%A0%20jour%20automatique%20du%20coeur%20de%20WordPress%20%3A%0Adefine(%20'WP_AUTO_UPDATE_CORE'%2C%20true%20)%3B" message="Autoriser la mise à jour automatique du coeur de WordPress" highlight="" provider="manual"/]
 

#2 - Utilisez des mots de passe sécurisés

Ce deuxième conseil est une bonne habitude à prendre pour votre site WordPress mais aussi bien au delà pour tous vos sites habituels demandant un accès sécurisé par mot de passe.
Privilégiez un mot de passe d'au moins 8 caractères incluant obligatoirement :

1. Des chiffres ; (ex: 0 1 2 3 4 5 6...)
2. Des symboles spéciaux ; (ex: : * / - + | { \ )

Voici quelques exemple de mots de passe forts : "LoT/u$75" ou  encore "Mick@El%8"
Cela vous évitera de subir des attaques de hackers consistant à tester les mots du dictionnaire.
Strong Passwords Generator, mon outils préféré pour générer des mots de passes sécurisés.
 
Évitez les éléments faisant référence à votre vie personnelle comme une date de naissance ou le nom de votre animal de compagnie. Vous seriez surpris de la facilité avec laquelle on peut accéder à ces informations sur Internet.
Bien entendu, le but de jeu n'est pas d'utiliser le même mot de passe compliqué partout. Variez autant que possible et ne mettez pas tout vos oeufs dans le même panier !

#3 - Faites une sauvegarde régulière de l'intégralité du site

Pourquoi faire une sauvegarde ?

Vous avez passé beaucoup de temps à vous investir dans votre site WordPress, il serait bien dommage de tout perdre lors d'un malheureux incident.
Voici quelques raisons pour lesquelles vous pouvez, un beau matin, retrouvez votre site "en vrac" :

• une extension (ou un plugin) qui fonctionne mal et qui a corrompu la base de données de votre site. Vos articles ont ainsi disparu ou sont illisibles,
• une extension qui embarque un virus qui n’a pas été détecté par votre hébergeur. Résultat: votre site est instable ou banni des moteurs de recherche,
• une personne peu scrupuleuse exploite une faille de sécurité de l’un de vos plugins pour s’introduire dans votre site et supprimer ou modifier le contenu de tous vos articles afin de faire la promotion de ses produits ou encore affecter une redirection vers son site,
• l’erreur humaine : vous supprimez sans faire exprès un dossier ou fichier essentiel au bon fonctionnement de WordPress,
• le serveur sur lequel vous hébergez votre site peut lui aussi faire l’objet d’une attaque qui affecte votre site web.

Quels fichiers sauvegarder ?

La sauvegarde d'un site fonctionnant sous WordPress implique 2 éléments :

• la sauvegarde FTP des fichiers du site (le thème du site, les extensions, les images, les templates de page et d'article, les fichiers du coeur de WordPress etc.)
• la sauvegarde de la base de données du site. C'est elle qui contient vos pages, articles et les commentaires.

Ces 2 éléments fonctionnent en synergie l'un de l'autre. Ils sont donc indissociables et doivent être sauvegardés au même moment !

Sauver un site WordPress manuellement

Il existe l'option de sauver manuellement et régulièrement votre site WorPress en passant par :

• un logiciel FTP tel que FileZilla pour récupérer les fichiers du site,
• l'accès PHPMyAdmin pour récupérer la base de donnée du site,

Votre hébergeur vous a fourni par mail les identifiants et accès FTP et PHPMyAdmin avec tous les codes nécessaires. Ils sont également disponibles dans votre compte client chez l'hébergeur.

Sauver un site WordPress automatiquement avec UpdraftPlus

Plusieurs extensions gratuites existent pour sauvegarder un site WordPress. Les deux solutions les plus répandues sont BackWPup et UpdraftPlus.  Ces 2 extensions bénéficient aujourd'hui d'une documentation et de vidéos tutoriels en français.
J'apprécie particulièrement UpdraftPlus car il propose une restauration en cas de sinistre. Autre gros atout, vous pouvez copier la sauvegarde directement vers un service Cloud tel que votre Dropbox ou encore votre Google Drive !
 

#4 - Supprimez les PlugIns inutiles et veillez à mettre à jour les autres

Dans la même logique que la mise à jour du coeur de WordPress, vos PlugIns (ou extensions) doivent eux aussi être absolument à jour pour éviter les failles.
D'autant plus que certaines fonctionnalités supplémentaires sont parfois ajoutées et les existantes optimisées. Je pense notamment au plugin de référencement qui doit s'adapter en permanence aux mises à jour des algorithmes de Google.
Il est inutile de laisser installé un PlugIn dont vous ne vous servirez plus. C'est une porte d'entrée pour les pirates et un poids supplémentaire pour votre site et votre conscience. Supprimez-les sans remords !

#5 - Protégez vos fichiers grâce au .htaccess

Sécuriser l'accès au fichier wp-config.php

Le fichier de configuration de votre site (wp-config.php) contient les identifiants pour se connecter à la base de données. C’est le fichier le plus sensible de votre site. Il sera clairement la cible d’éventuels pirates. Il est possible de le protéger en ajoutant ce code au fichier .htaccess principal :
[pastacode lang="php" manual="%23%20Prot%C3%A9ger%20le%20fichier%20wp-config.php%0A%3Cfiles%20wp-config.php%3E%0Aorder%20allow%2Cdeny%0Adeny%20from%20all%0A%3C%2Ffiles%3E" message="Protéger le fichier wp-config.php" highlight="" provider="manual"/]

Sécuriser l'accès au fichier .htaccess lui-même

Tout comme le fichier wp-config.php, le fichier .htaccess doit avoir une protection optimale contre les pirates :
[pastacode lang="php" manual="%23%20Prot%C3%A9ger%20les%20fichiers%20.htaccess%20et%20.htpasswds%0A%3CFiles%20~%20%22%5E.*%5C.(%5BHh%5D%5BTt%5D%5BAaPp%5D)%22%3E%0Aorder%20allow%2Cdeny%0Adeny%20from%20all%0Asatisfy%20all%0A%3C%2FFiles%3E" message="Protéger les fichiers .htaccess et .htpasswds" highlight="" provider="manual"/]

#6 - Renforcez l'accès via votre page de connexion (Login)

Avoir une magnifique maison de campagne dotée d'une porte d'entrée sans serrure, c'est pas le plus sécurisant vous en conviendrez. Pour votre site WordPress, c'est pareil ! Et votre meilleure serrure 3 points renforcée titane s'appelle Captcha par WebSoft.
Ce PlugIn WordPress apporte une sécurité supplémentaire à votre écran de connexion. Il ajoute une vérification par Captcha et demande d'effectuer des calculs simples. Je vous rassure, pas de quoi rendre un élève de CP insomniaque, mais suffisant pour contrer des programmes malveillants qui testent automatiquement en boucle des mots de passe pour accéder à votre site (technique appelée BruteForce).

Pour éviter les attaques de type "Brute Force", il existe en complément de Captcha par Websoft un autre excellent PlugIn nommé Login Lockdown qui apporte une action complémentaire pour vraiment verrouiller l'accès aux pirates par votre page de connexion. Voyons cela de plus près.

En installant le PlugIn Login LockDown, vous pouvez alors choisir un nombre maximum de tentatives de connexion infructueuses. Et si toutes les tentatives sont épuisées, vous choisissez de bloquer l'IP pendant un certains temps. Je vous recommande de limiter les tentatives au nombre de 3 et de bloquer pendant 60 minutes. La possibilité de cacher les informations lorsque l'identifiant ou le mot de passe saisis sont erronés est également intéressante : "Nom d'utilisateur incorrect" / "Mot de passe incorrect".
Cerber Security et WordFence sont 2 autres options fiables, complètes et populaires. Testées et approuvées personnellement.
 

#7 - Ne soyez pas radin sur l'hébergement

Souvent insuffisamment considérés, les espaces d'hébergement sont pourtant très souvent la cause de failles et de hacks. En fait, dans 41% des cas ou un site WordPress est piraté, cela est du à une faille de sécurité de l'hébergeur lui-même. Ne négligez pas votre hébergement au moment de le choisir et revoyez bien votre contrat si votre site est déjà hébergé.
Dans la mesure du possible, évitez les "hébergement mutualisés" et privilégiez les "serveurs dédiés". Le terme d'hébergement mutualisé désigne en fait une genre de collocation de sites Internet sur un même serveur. Concrètement si l'un des colocataire reçoit beaucoup de visites ou tombe malade, cela vous affectera. Votre site sera plus lent à charger dans le premier cas, ou il sera vulnérable au piratage dans le second cas. (Je tiens à préciser que cela ne reflète absolument pas mon expérience de la colocation).
Cependant, l'hébergement mutualisé ne doit pas être diabolisé car c'est surtout la qualité des services de l'hébergeur qui est le véritable garant dans l'affaire. OVH (FR), Hostpapa (USA) ou encore WP Serveur (FR) pour les plus exigeants, proposent des hébergements fiables avec un bon service client derrière.

#8 - Un esprit serein grâce à un ordinateur sain

Il arrive que les hackers accèdent à votre site en exploitant une vulnérabilité de votre ordinateur. Tel le principe du mouchard, les hackers peuvent alors enregistrer vos identifiants et mots de passes de votre WordPress, mais aussi ceux d'autres sites Internet que vous visitez, y compris votre banque par exemple.
Pas de panique, il existe aujourd'hui bon nombre d'antivirus gratuits qui font largement leur job tels que Avast, Panda Free Antivirus, Comodo ou AVG. Disponibles sur Mac ou Windows, ils auront tôt fait de libérer et prévenir votre ordinateur de la présence de virus ou de logiciels malveillants.